Nach dem Neuaufbau unseres Exchange 2003-Servers aufgrund eines Festplattenfehlers ist Exchange nach einer unbekannten Zeit nicht mehr verfügbar. Die überwiegende Mehrheit der Benutzer verwendet jetzt Outlook 2007 (einige verwenden noch 2003).
Wir haben die Protokollierungsstufe erhöht und diese Warnungen jetzt bemerkt. Ich habe sie verfolgt und es sieht so aus, als ob sie etwa alle 15 Minuten auftreten (ich bin nicht sicher, ob der Zeitrahmen etwas damit zu tun hat).
Diese Warnungen führen manchmal zu Fehlern und gestern haben wir den Server zweimal neu gestartet: um etwa 8:30 Uhr und um 14:30 Uhr (ungefähr 6 Stunden – auch hier bin ich nicht sicher, ob das Timing etwas damit zu tun hat).
Prozess INETINFO.EXE (PID=1300). DSAccess muss aufgrund des Fehlers 0x80040951 eine Verbindung zum Domänencontroller AD-server.domain.com schließen.
Prozess STORE.EXE (PID=2936). DSAccess muss aufgrund des Fehlers 0x80040952 eine Verbindung zum Domänencontroller AD-server.domain.com schließen.
Prozess MAD.EXE (PID=2160). DSAccess muss aufgrund des Fehlers 0x80040952 eine Verbindung zum Domänencontroller AD-server.domain.com schließen.
Jede der drei Warnungen wird etwa alle 15 Minuten erneut angezeigt.
Die Fehler, die vor dem Neustart von Exchange auftreten, sehen so aus
LDAP-Bindung war im Verzeichnis AD-server.domain.com für den Distinguished Name '' nicht erfolgreich. Das Verzeichnis hat den Fehler zurückgegeben: [0x51] Server Down. DC=domain,DC=com
Wir sind nicht sicher, ob die Warnungen etwas mit den Fehlern (und letztlich dem darauf folgenden Neustart) zu tun haben. Aufgrund der oben genannten Zeitangaben dachten wir, dass es gegen 20:30 Uhr und 2:30 Uhr wieder passieren würde, aber nichts. Keine Fehler seit dem Neustart gestern gegen 14:30 Uhr.
Ich sollte beachten, dass Exchange DMZ 1
und AD drin sind, DMZ 3
aber die Firewall (Sonicwall) zwischen den beiden DMZs vollständig geöffnet ist.
Exchange befand sich früher auf einem eigenen Server, aber auf Empfehlung einiger Techniker haben wir es inzwischen auf eine VM verschoben. Der 2008-Server ist der Host, VMWare-Server 2 für die VM und Windows 2003 mit 2003 Exchange.
Wir wissen wirklich nicht, was los ist. Wir haben die Firewall neugestartet, AV/Inhaltsfilterung ausgeschaltet und sowohl AD als auch Exchange neugestartet.
Wir überlegen, Exchange in dieselbe DMZ wie AD zu verschieben. Alle, mit denen wir sprechen, empfehlen das, aber das können wir derzeit noch nicht tun. Das Beste daran ist, dass es bis wir Exchange neu aufbauen mussten, einwandfrei lief, dieselbe Firewall, dasselbe DMZ-Setup, dieselben Betriebssystemversionen (außer der VM) und das über 3 Jahre lang. Erst nachdem wir Exchange verloren und neu aufbauen mussten, hatten wir diese Probleme.
Irgendwelche Ideen?
--- Notizen hinzugefügt am 23.11.11, 11:11 Uhr EST --- @ Even Anderson
Ich war nicht ganz sicher, wie ich das erreichen sollte, worum Sie mich gebeten haben; normalerweise überwachen wir hier nicht den Verkehr ...
Dann fiel mir ein, dass unser Sonicwall NSA über integrierte Funktionen zur Paketerfassung verfügt.
Ich habe also den Exchange-Server und die AD-Server eingegeben, die Aufnahmen an einen FTP-Server auf meinem PC senden lassen und kann nun den Datenverkehr zwischen Exchange und AD beobachten. Es sendet mir .cap-Dateien, die ich mit Wireshark ansehe.
Das „Problem“ trat heute Morgen zwischen 1 und 3 Uhr auf und dann wieder heute Morgen gegen 9 Uhr. Ich habe sicherheitshalber einen Neustart durchgeführt, als ich gegen 6 Uhr reinkam, und habe noch einmal einen Neustart durchgeführt, als Exchange gegen 9:30 Uhr nicht mehr reagierte.
Beim Filtern nach dem LDAP-Protokoll werden mir die folgenden Einträge angezeigt:
SASL GSS-API Inegrity - diese sehen aus wie die tatsächlichen Nachschlagevorgänge und jede Suchanforderung hat einen Suchreseneintrag
bindRequest und bindResponse – diese sehen 1 zu 1 aus – also sieht das gut aus.
Ich sehe einige UnbindRequests von Exchange an AD, auf die es scheinbar keine Antwort gibt. Ich bin mir jedoch nicht sicher, ob es eine Antwort geben sollte.
Ich sehe nichts mit einer tatsächlichen Synchronisierung darin.
Suche immer noch – Das Ausführen der Erfassung scheint die Leistung nirgendwo zu beeinträchtigen, daher hoffe ich, es weiterhin ausführen zu können, bis die Fehler auftreten und Exchange nicht mehr reagiert.
Antwort1
Der Fehler 0x80040951 ist ein „LDAP_SERVER_DOWN“-Fehler und der 0x80040952 ist ein „LDAP_LOCAL_ERROR“. Beides lässt mich vermuten, dass der Exchange Server-Computer nicht mehr in der Lage ist, über LDAP mit dem DC zu kommunizieren.
Ich würde damit beginnen, den Datenverkehr zwischen Exchange und dem DC abzuhören. Wenn möglich, verwenden Sie einen SPAN-Port oder eine andere Methode, um einen dedizierten Sniffer-Computer zwischen dem DC und Exchange einzubinden, damit Ihr langfristiges Sniffing ausgeführt werden kann, ohne dass auf einem der Server Leistungsprobleme auftreten. Sie könnten einen Erfassungsfilter verwenden, um den Datenverkehr auf die Konversationen zwischen dem Exchange-Server und den DCs zu beschränken. Wenn möglich, verwenden Sie zwei Computer zum Abhören und binden Sie einen zwischen jeden Server und das Firewall-Gerät, das sie isoliert.
Ohne zu sehen, was mit dem tatsächlichen Netzwerkverkehr passiert, ist es für mich schwierig, weitere Empfehlungen abzugeben. Wenn Sie einige Aufnahmen des Fehlers „auf frischer Tat“ haben, können Sie sie hier posten und wir werden uns das ansehen. Basierend auf dem, was ich bisher sehe, gehe ich davon aus, dass Sie feststellen werden, dass der Exchange Server-Computer wiederholt eine SYN-Verbindung zum LDAP-Port des DC herstellt und keine Antwort erhält. Wenn Sie das Glück haben, von beiden „Seiten“ des Firewall-Geräts Aufnahmen machen zu können, werden Sie sicher Datenverkehr sehen, der die Firewall nicht durchquert. Ihr Problem hat sicherlich dieses Gefühl …